Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Ε: Ασφάλεια Δικτύων: Αυθεντικοποιημένη.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Ε: Ασφάλεια Δικτύων: Αυθεντικοποιημένη."— Μεταγράφημα παρουσίασης:

1 Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Ε: Ασφάλεια Δικτύων: Αυθεντικοποιημένη Εδραίωση Κλειδιού και Εφαρμογές

2 Αυθεντικοποιημένη Εδραίωση Κλειδιού Syllabus 1. Ασφαλής Επικοινωνία – Βασικές Έννοιες & Εργαλεία Αυθεντικοποίηση Χρήστη & Μηνύματος, Μυστικότητα 2. Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί-Κατηγοριοποίηση-Στόχοι Ασφάλειας 3. Εδραίωση Κλειδιού με Συμμετρικές Τεχνικές Διανομή, Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές 4. Εδραίωση Κλειδιού με Τεχνικές Δημόσιου Κλειδιού Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές 5. Προηγμένα Πρωτόκολλα Εδραίωσης 6. Εφαρμογές A.SSL/TLS (Secure Sockets Layer / Transport Layer Security) B.SSH (Secure Shell) C.IPSec (Internet Protocol Security)

3 Παθητικός Εχθρός (Eve) Ενεργητικός Εχθρός (Mallory) 1. Ασφαλής Επικοινωνία Βασικές Έννοιες & Εργαλεία Alice Bob Ζητούμενο: Ασφαλής Επικοινωνία H Alice & ο Bob μπορεί να είναι χρήστες, Η/Υ, διεργασίες κλπ… Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα?» Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα?» Μυστικότητα (Εμπιστευτικότητα): «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice» Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα?» Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα?» Μυστικότητα (Εμπιστευτικότητα): «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice»

4 1. Ασφαλής Επικοινωνία Βασικές Έννοιες & Εργαλεία Σήμερα, η κρυπτογραφία μας προσφέρει ασφαλείς & αποδοτικούς μηχανισμούς για την εκπλήρωση των ιδιοτήτων ασφάλειας: Παθητικός Εχθρός Ενεργητικός Εχθρός Alice Bob Ζητούμενο: Ασφαλής Επικοινωνία 1. Τεχνικές Πρόκλησης-Απάντησης 2. Αυθεντικοποίηση με MAC (Αλγόριθμοι: MD5, SHA-1,…) & Ψηφιακές Υπογραφές (Αλγόριθμοι: DSA, RSA, ElGamal,… ) 3. Συμμετρική Κρυπτογράφηση (Αλγόριθμοι: AES,3DES), Κρυπτογράφηση με Δημόσιο Kλειδί (Αλγόριθμοι: RSA, ElGamal,…) Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα?» Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα?» Μυστικότητα (Εμπιστευτικότητα): «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice» Λόγω απόδοσης, στην πράξη προτιμώνται οι συμμετρικές τεχνικές !

5 2. Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί Το πρόβλημα: Στις συμμετρικές τεχνικές, η Alice και ο Bob μοιράζονται ένα κλειδί Κ. Πώς όμως αποκτούν αυτό το κλειδί; Γενικότερη διατύπωση: Πώς δύο ή περισσότερες οντότητες αποκτούν από κοινού ένα μυστικό (συμμετρικό) κλειδί για ασφαλή επικοινωνία … … δηλαδή έναντι παθητικών ή/και ενεργητικών εχθρών Eve: Υποκλέπτει επικοινωνία Mallory: Επιθέσεις πλαστοπροσωπίας και ενδιάμεσης οντότητας

6 2. Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί Σκοπός: Η εδραίωση ενός εφήμερου ή «φρέσκου» κλειδιού που αποκαλείται κλειδί συνόδου (session key) Γιατί κλειδιά συνόδου; 1. Περιορισμός των συνεπειών αν ο «εχθρός» βρει ένα κλειδί. 2. Περιορισμός της ποσότητας υλικού που θα χρησιμοποιηθεί για κρυπτανάλυση. 3. Άρση ανάγκης αποθήκευσης πολλών κλειδιών για μεγάλο χρονικό διάστημα. 4. Ανεξαρτησία μεταξύ των συνόδων επικοινωνίας και των δικτυακών εφαρμογών

7 2. Πρωτόκολλα Εδραίωσης «Φυσική» Εδραίωση Κλειδιού Σενάρια: 1. H Alice επιλέγει ένα κλειδί και το μεταδίδει στον Bob με φυσικό τρόπο 2. Μια Τρίτη Αρχή επιλέγει ένα κλειδί και το μεταδίδει στους Alice & Bob με φυσικό τρόπο Τα σενάρια 1 και 2, συνήθως εφαρμόζονται για: Κρυπτογράφηση ζεύξης (link encryption) στο επίπεδο σύν- δεσης δεδομένων (π.χ. Wi-fi) Για κρυπτογράφηση από άκρη- σε-άκρη (end-to-end) στο επίπεδο δικτύου, όχι αποδοτικό N hosts: Ν(Ν-1)/2 κλειδιά Τι θα γίνει αν η κρυπτογράφηση γίνει στο επίπεδο εφαρμογής ; 1 κλειδί για κάθε ζεύγος χρηστών ή διεργασιών; Case: Δίκτυο με εκατοντάδες κόμβους & χιλιάδες διεργασίες!

8 2. Πρωτόκολλα Εδραίωσης «Φυσική» Εδραίωση Κλειδιού

9 2. (Λογική) Εδραίωση Κλειδιού Κατηγοριοποίηση Τρεις περιπτώσεις: 1. Οι Alice & Bob μοιράζονται ήδη ένα κλειδί μακράς διαρκείας (π.χ. password) 2. Οι Alice & Bob μοιράζονται ξεχωριστά κλειδιά μακράς διαρκείας με ένα έμπιστο κέντρο (KDC). 3. Η Alice και ο Bob δεν μοιράζονται κάποιο κλειδί ΣΥΜΜΕΤΡΙΚΕΣ ΤΕΧΝΙΚΕΣ ΤΕΧΝΙΚΕΣ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ

10 2. (Λογική) Εδραίωση Κλειδιού Κατηγοριοποίηση Τρεις περιπτώσεις: 1. Οι Alice & Bob μοιράζονται ήδη ένα κλειδί μακράς διαρκείας (π.χ. password) 2. Οι Alice & Bob μοιράζονται ξεχωριστά κλειδιά μακράς διαρκείας με ένα έμπιστο κέντρο (KDC). 3. Η Alice και ο Bob δεν μοιράζονται κάποιο κλειδί Σε κλειστά ή/και αυτόνομα συστήματα, τα κλειδιά μακράς διαρκείας (Master keys) χρησιμοποιούνται για την εδραίωση των (εφήμερων) κλειστών συνόδου. Τα Master keys διανέμονται με μη κρυπτογραφικό τρόπο (π.χ. φυσικά) Η προτεινόμενη μέθοδος για συστήματα μεγάλης κλίμακας (π.χ. Internet)

11 2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση 1. Πρωτόκολλα Διανομής Κλειδιού (Key Distribution) Μια έμπιστη οντότητα (KDC) δημιουργεί το κλειδί και το στέλνει στην Alice και τον Bob 2. Πρωτόκολλα Μεταφοράς Κλειδιού (Key transport) Η Alice (Bob) δημιουργεί ένα κλειδί και το στέλνει στον Bob (Alice) 3. Πρωτόκολλα Συμφωνίας Κλειδιού (Key Agreement) Η Alice & Bob συνεισφέρουν από κοινού στη δημιουργία του κλειδιού συνόδου

12 2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού 1. Συμμετρικές Τεχνικές2. Τεχνικές Δημόσιου Κλειδιού Διανομής: Π1-Π8 Μεταφοράς: Π9-Π10 Συμφωνίας: Π11-Π12 Μεταφοράς: Π14-Π18 Συμφωνίας: Π19-Π26 Πηγή: (Magkos et al, 2011)

13 2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση Σημείωση: Στις συμμετρικές τεχνικές, μπορούμε να εντάξουμε μια επιπλέον κατηγορία 4. Εδραίωση χωρίς σύνδεση με προ- μοιρασμένα κλειδιά (Offline Key Establishment with Pre-Shared Keys) KK Session 1: Κ 1 = Hash(K, n 1 ) Session 2: Κ 2 = Hash(K, n 2 ) Session j: Κ j = Hash(K, n j ) … Παράδειγμα (για j συνόδους) n: nonce (number used once)

14 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 1. Αυθεντικοποίηση Χρήστη (User Authentication) 2. Αυθεντικοποίηση Κλειδιού (Key Authentication) A. Εννούμενη Αυθεντικοποίηση (Implicit Key Authentication) B. Ρητή Αυθεντικοποίηση (Explicit Key Authentication) 3. Μυστικότητα Κλειδιού (Key Secrecy) 4. Φρεσκάδα Κλειδιού (Key Freshness) Η αυθεντικοποίηση μπορεί να είναι μονόδρομη ή αμοιβαία … ένα πρωτόκολλο εδραίωσης θεωρείται ασφαλές αν το κλειδί που θα προκύψει είναι ανέφικτο να το γνωρίζει/μάθει ένας μη εξουσιοδοτημένος χρήστης… … ένα πρωτόκολλο εδραίωσης θεωρείται ασφαλές αν το κλειδί που θα προκύψει είναι ανέφικτο να το γνωρίζει/μάθει ένας μη εξουσιοδοτημένος χρήστης…

15 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 2. Αυθεντικοποίηση Kλειδιού. Ο χρήστης γνωρίζει την ταυτότητα του χρήστη με τον οποίο εδραίωσε το κλειδί A. Εννούμενη Αυθεντικοποίηση π.χ. η Alice γνωρίζει ότι μόνον ο Βob μπορεί να έχει πρόσβαση στο κλειδί που εδραιώνεται B. Ρητή αυθεντικοποίηση π.χ. η Alice βεβαιώνεται ότι ο Βοb έχει πρόσβαση στο κλειδί που εδραιώθηκε 1. Αυθεντικοποίηση Χρήστη Κάθε χρήστης μπορεί να καθορίσει: A. Την ταυτότητα του χρήστη με τον οποίο εδραιώνει το κλειδί συνόδου, και B. ότι ο έτερος χρήστης είναι ενεργός τη στιγμή που εκτελείται το πρωτόκολλο Γνωστή και ως «Επιβεβαίωση Κλειδιού»

16 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 3. Μυστικότητα Κλειδιού Μόνον οι εξουσιοδοτημένοι χρήστες έχουν πρόσβαση στο κλειδί συνόδου 4. Φρεσκάδα Κλειδιού Το εδραιωμένο κλειδί πρέπει να είναι καινούριο, δηλ. να μην έχει εδραιωθεί ξανά στο παρελθόν από άλλους χρήστες

17 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Αποδοτικότητας Ένα πρωτόκολλο εδραίωσης πρέπει να είναι αποδοτικό ως προς τις εξής πολυπλοκότητες: Carol Bob Alice 1. Επικοινωνία: Ο αριθμός των αποστολών μηνυμάτων (passes), Ο αριθμός των bit που ανταλλάσσονται (per pass), 2. Υπολογισμοί: ο αριθμός των απαιτούμενων υπολογιστικών πράξεων 3. Αποθήκευση: O απαιτούμενος αποθηκευτικός χώρος που απαιτείται για την εδραίωση

18 Συμβολισμοί

19 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π1 Πρωτόκολλο Π1 - Απλή διανομή κλειδιού [38] [Popek and Kline, 1979]

20 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π2 Πρωτόκολλο Π2 - Απλή διανομή με ρητή αυθεντικοποίηση

21 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π2 Επίθεση Ε1 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π2 [30]

22 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π3 Πρωτόκολλο Π3 -Αυθεντικοποίηση με εισαγωγή πληροφορίας σχετικής με την ταυτότητα των χρηστών [30]

23 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π3 Επίθεση Ε2 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π3 [30]

24 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π4 Πρωτόκολλο Π4 - Το πρωτόκολλο διανομής των Needham-Schroeder [35] ( Needham and Schroeder, 1978)

25 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π4 Επίθεση Ε3 - Μία επίθεση πλαστοπροσωπίας στο Needham-Schroeder [14] (Denning and Sako, 1981)

26 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π5 Πρωτόκολλο Π5 - Εισαγωγή χρονοσφραγίδων στο πρωτόκολλο Needham-Schroeder [14] (Denning and Sako, 1981, Denning, 1981)

27 Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

28 Το Σύστημα Kerberos Η Emily έρχεται στη δουλειά. Εισάγει σε μια φόρμα το username και τον κωδικό της πρόσβασης, στις 8.00 A.M To λογισμικό Kerberos στον Η/Υ της Emily στέλνει το username στην Υπηρεσία Αυθεντικοποίησης (AS) στον server KDC, που με τη σειρά της επιστρέφει στην Emily ένα Εισιτήριο Έκδοσης Εsισιτηρίων (Ticket Granting Ticket – TGT), κρυπτογραφημένο (συμμετρικά) με το password της Emily Όταν η Emily θελήσει να επικοινωνήσει με τον file server, το Kerberos στον Η/Υ της στέλνει μια αίτηση, μαζί με το TGT, στην Υπηρεσία Έκδοσης Εισιτηρίων (Τicket Granting Service – TGS) στον KDC. Το Kerberos εξάγει το κλειδί συνόδου, και αποστέλλει το εισιτήριο στον file server για να αρχίσει η επικοινωνία ! Η TGS δημιουργεί και στέλνει στην Emily ένα 2o εισιτήριο, για την ταυτοποίηση της στον file server. To εισιτήριο περιέχει ένα κλειδί συνόδου, κρυπτογραφημένο με τα κλειδιά που μοιράζεται το KDC με Emily & τον server Αν η Emily έχει δώσει το σωστό password, το TGT αποκρυπτογραφείται και η Alice αποκτά πρόσβαση στο σταθμό εργασίας της

29 Εφαρμογή Νο 2 The Kerberos System The problem : ”In an open distributed environment users at workstations wish to access services on servers distributed throughout the network. The servers must be able to restrict access to authorized users and to authenticate requests for service.” A workstation cannot be trusted to identify users correctly A user may gain access to a particular workstation and pretend to be another user operating from that workstation A user may alter the network address of a workstation and thus impersonate another workstation A user may eavesdrop on exchanges and use a replay attack to gain entrance to a server (Steiner et al, 1988) (Stallings, 2010)

30 Εφαρμογή Νο 2 The Kerberos System In a distributed architecture consisting of clients and servers three approaches to security can be envisioned: 1. Rely on each client workstation to assure the identity of its users and rely on each server to enforce security policy based on user identification (ID). 2. Require that client systems authenticate themselves to servers, but trust the client systems concerning the identity of the user. 3. Require the user to prove identity for each service invoked. Require that servers prove their identity to clients. Third approach is supported by Kerberos: (Stallings, 2010)

31 Εφαρμογή Νο 2 The Kerberos System (Stallings, 2010) A trusted, centralized auth. server who facilitates authentication of users to servers and servers to users. There are two versions Version 4 is still in common use Version 5 (1994) corrects some deficiencies of version 4 Kerberos relies exclusively on conventional encryption. (Steiner et al, 1988,Miller et al,1988) (Kohl et al, 1994) (RFC 4120)

32 Εφαρμογή Νο 2 The Kerberos System The following requirements were listed for Kerberos: 1. Secure: a network eavesdropper should not be able to obtain the required information for impersonating a user. 2. Reliable: Kerberos should employ a distributed server architecture with one system able to back up another. 3. Transparent: the user should not be aware that authentication is taking place, except for the entering of the password. 4. Scalable: the system should have a modular, distributed architecture to support large number of clients and servers. (Stallings, 2010)

33 Kerberos Version 4 We build up to full protocol A Simple Authentication Protocol This protocol uses an authentication server (AS) that knows the passwords of each user and shares a secret key with each server. Some issues: Plaintext transmission of password Number of password uses (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988) (Bryant et al,1988) C = Client AS = authentication server V = server ID C = identifier of user on C ID V = identifier of V PC = password of user on C AD C = network address of C K V = secret encryption key shared by AS and V C  AS: ID C || P C || ID V AS  C: ID C || Ticket C  V:Ticket Ticket = E(K V, [ID C || AD C || ID V ]) C  AS: ID C || P C || ID V AS  C: ID C || Ticket C  V:Ticket Ticket = E(K V, [ID C || AD C || ID V ])

34 Kerberos Version 4 A More Secure Authentication Dialogue (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988) Once per user logon session: (1) C  AS: ID C || ID tgs (2) AS  C: E(K C, Ticket tgs ) Once per type of service: (3) C  TGS: ID C || ID V || Ticket tgs (4) TGS  C: Ticket V Once per service session: (5) C  V: ID C || Ticket V Once per user logon session: (1) C  AS: ID C || ID tgs (2) AS  C: E(K C, Ticket tgs ) Once per type of service: (3) C  TGS: ID C || ID V || Ticket tgs (4) TGS  C: Ticket V Once per service session: (5) C  V: ID C || Ticket V Ticket tgs = E(K tgs, [ID C || AD C || ID tgs || TS 1 || Lifetime 1 ] ) Ticket V = E(K V, [ID C || AD C || ID V || TS 2 || Lifetime 2 ]) Ticket tgs = E(K tgs, [ID C || AD C || ID tgs || TS 1 || Lifetime 1 ] ) Ticket V = E(K V, [ID C || AD C || ID V || TS 2 || Lifetime 2 ]) Issues Replays after C logs off & before lifetime is over Servers do not authenticate to Users Kc = key derived from user password Ticket tgs = Ticket granting ticket Ticket v = Service- granting ticket TS = A time-stamp

35 Kerberos Version 4 The Version 4 Authentication Dialogue (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988)

36 Kerberos Version 4 The Version 4 Authentication Dialogue (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988)

37 (Stallings, 2010)

38

39

40 Scalability of Kerberos Kerberos Realms and Multiple Kerberi A Kerberos realm, is a full-service environment consisting of a Kerberos server, a number of clients and app servers: 1. The Kerberos server has the IDs and hashed passwords of all users. All users are registered with the Kerberos server. 2. The Kerberos server shares a secret key with each server. All servers are registered with the Kerberos server. Kerberos supports inter-realm authentication. Extra req: 3. The Kerberos server in each interoperation realm shares a secret key with the server in the other realm. The two kerberos servers are registered with the each other..

41

42 Kerberos & Τομείς Ασφάλειας (Security Domains) Τομέας Ασφάλειας Μία λογική (logical) Ομάδα από υποκείμενα και αντικείμενα (χρήστες, Η/Υ, συσκευές, προγράμματα & εφαρμογές, δεδομένα, … ) …που υπακούν σε ένα κοινό σύνολο κανόνων ασφάλειας (i.e., πολιτική ασφάλειας) Kerberos: Ο ελεγκτής τομέα συγκεντρώνει τους ρόλους AS και TGS

43 Τομείς Ασφάλειας (Security Domains) Οι χρήστες (clients), γίνονται μέλη στον τομέα κάνοντας log on, με διαδικασίες SSO Μέσω LAN, WAN, VPN κλπ Για κάθε τομέα, υπάρχει ένας server (Domain Controller) όπου: Μια κεντρική ΒΔ (Ενεργός Κατάλογος - Active Directory) περιέχει τους λογαριασμούς & ομάδες χρηστών και Η/Υ Δημιουργούνται & επιβάλλονται οι Πολιτικές Ασφάλειας του τομέα Πολιτικές ομάδων (group policies) Κριτήρια & Δικαιώματα πρόσβασης Ρυθμίσεις ασφάλειας Αρχιτεκτονική Client-Server Λογική σύνδεση

44 Τομείς Ασφάλειας (Security Domains) -

45 Τομείς Ασφάλειας (Security Domains) Μεγάλα συστήματα, συχνά οργανώνονται ιεραρχικά: 1. Δένδρο Πολλοί Τομείς, με το ίδιο namespace 1. Δάσος (Forrest) Πολλά δένδρα, με διαφορετικά namespaces

46 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π6 Πρωτόκολλο Π6 - Το πρωτόκολλο διανομής των Otway-Rees [37] (Otway and Rees, 1987)

47 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π7 Πρωτόκολλο Π7 - Το πρωτόκολλο Π6 με αμοιβαία αυθεντικοποίηση [33]

48 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π8 Πρωτόκολλο Π8 - Το πρωτόκολλο των Bellare-Rogaway [5] (Bellare and Rogaway, 1995)

49 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πλεονεκτήματα & Μειονεκτήματα Μειονεκτήματα Αρχιτεκτονικής Υψηλή εμπιστοσύνη στον Trent Υψηλός φόρτος για τον Trent Πλεονεκτήματα Αρχιτεκτονικής Εύκολη διαχείριση συστήματος Κάθε οντότητα αποθηκεύει ένα μόνον κλειδί μακράς διαρκείας

50 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π9 Πρωτόκολλο Π9 - Απλή μεταφορά κλειδιού [22] (ISO/IEC :1996)

51 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π10 Πρωτόκολλο Π10 - Απλή μεταφορά κλειδιού με πρόκληση-απάντηση [33]

52 3. Εδραίωση με Συμμετρικές Τεχνικές 3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π11 Πρωτόκολλο Π11 -To πρωτόκολλο ΑΚΕP2 [4] Κ S = Hash(K’ AB, N A, N B ) (Bellare and Rogaway, 1993)

53 3. Εδραίωση με Συμμετρικές Τεχνικές 3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π12 Πρωτόκολλο Π12 - Συμφωνία κλειδιού με χρονοσφραγίδες Κ S = Hash(k A, k B )

54 3. Εδραίωση με Συμμετρικές Τεχνικές 3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π13 Πρωτόκολλο Π13 - Συμφωνία κλειδιού με πρόκληση-απάντηση

55 1. Η Alice φτιάχνει μια ΒΔ με κλειδιά και αντίστοιχους (μοναδικούς) σειριακούς αριθμούς 2. Η Alice κρυπτογραφεί κάθε ζεύγος της ΒΔ με διαφορετικά κλειδιά μικρού μήκους (π.χ 20 bit) 4. Εδραίωση με Ασύμμετρες Τεχνικές 4.Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle Τυχαία σειρά (Merkle, 1978)

56 3. Η Alice στέλνει στον Bob κρυπτογραφημένα μηνύματα 4. Ο Bob επιλέγει στην τύχη ένα μήνυμα και εξαπολύει μια επίθεση brute force π.χ. 1 ώρας διάρκεια 5. O Bob ανακτά π.χ. το ζεύγος (1yt8a42x35 | 500,121) 6. O Bob επικοινωνεί με την Alice: της λέει να χρησιμοποιήσει το κλειδί που αντιστοιχεί στο Η Eve δεν ξέρει πιο από τα κρυπτογραφημένα μηνύματα περιέχει το κλειδί που επέλεξε ο Bob !! Η Eve θα πρέπει να «σπάσει» κατά μέσο όρο 2 19 ~ μηνύματα !!! π.χ ώρες εργασίας ! ! Ασυμμετρία 4. Εδραίωση με Ασύμμετρες Τεχνικές 4.Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle (Merkle, 1978)

57 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π15 Πρωτόκολλο Π15 -Ένα απλό πρωτόκολλο μεταφοράς κλειδιού [39,33] (Merkle, 1979, Kohnfelder 1978, p.5)

58 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π15 Στην απλή του μορφή το Π15 είναι ευπαθές σε επιθέσεις MITM (Rivest & Shamir, 1984)

59 Εφαρμογή Νο 3 SSL 3.0 (Secure Sockets Layer) … N A … N B, Sig CA (PK B ) E PKB [Κ Α ] Κ S = Hash(K A, N A, N B ) Το ΔΚ της CA είναι πιθανώς προ- εγκατεστημένο, κατά την εγκατάσταση του λογισμικού πλοήγησης Pre-master Secret Master Secret

60 O “διάδοχος” του SSL TLS (Transport Layer Security) … N A … N B, Sig CA (PK B ) Sig A (E PK B [Κ Α ],…), Sig CA (PK A ) Κ S = Hash(K A, N A, N B )

61 Εφαρμογή Νο 4 Κινητή Τηλεφωνία: WAP & WTLS Internet Gateway Web Server WTLSSSL

62 Εφαρμογή Νο 5 ΙΕΕΕ i (Ασύρματα Τοπικά Δίκτυα) Εδραίωση Κλειδιού σε WLANS (EAP-TLS) Mobile client Radius Authentication Server Enterprise network

63 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π16 Πρωτόκολλο Π16 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23]

64 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π17 Πρωτόκολλο Π17 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23] (ISO/IEC , 1999)

65 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π18 Πρωτόκολλο Π18 -Μεταφορά κλειδιού με αμοιβαία αυθεντικοποίηση [33]

66 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π19 Πρωτόκολλο Π19-Συμφωνία κλειδιού με αμοιβαία αυθεντικοποίηση [35] Κ S = Hash(k A, k B ) (Needham & Schroeder, 1978)

67 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π20 Πρωτόκολλο Π20 - Τροποποίηση του πρωτοκόλλου Π19 [33]

68 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π21 Πρωτόκολλο Π21 - Παραλλαγή του πρωτοκόλλου Needham-Schroeder [35] (Needham & Schroeder, 1978)

69 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π22 Πρωτόκολλο Π22 - Μια απλοποίηση του Π21 [35] (Needham & Schroeder, 1978)

70 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π22 Επίθεση E4 - H επίθεση του Lowe στο πρωτόκολλο Π22 [30]

71 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Diffie-Hellman Πρωτόκολλο Π23 - Το πρωτόκολλο Diffie-Hellman [15] Εφαρμογές: Ο αλγόριθμος και οι παραλλαγές του χρησιμοποιούνται σήμερα ευρέως σε δημοφιλείς εφαρμογές: π.χ. IPSec, SSH, SSL/TLS, … (Diffie &Hellman, 1976)

72 Κρυπτογραφία Δημόσιου Κλειδιού To Πρωτόκολλο Diffie-Hellman – Ένα παράδειγμα Όλες οι πράξεις γίνονται mod p g και p: Παράμετροι συστήματος ΓΝΩΣΤΕΣ ΣΕ ΟΛΟΥΣ Παράμετροι συστήματος p= 101, g=3 a=5 b=6 John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003

73 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π23 Επίθεση E5 - Μία επίθεση ενδιάμεσης οντότητας (MITM) στο DH [30]

74 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - To Πρωτόκολλο STS [16] Πρωτόκολλο Π24 - Το πρωτόκολλο Station to Station (STS) [16] (Diffie et al, 1981)

75 , Sig B (m 1,m 2 ), Cert B Sig A (m 1,m 2 ), Cert A Εφαρμογή Νο 6 : Virtual Private Networks (VPNs) IPSec - Το πρωτόκολλο IKE (Internet Key Exchange) A, (g a mod p) B, (g b mod p) AB m1 m2

76 Εφαρμογή Νο 7: Secure Shell (SSH) Εδραίωση Κλειδιού στο πρωτόκολλο SSH Sig B (m 1,m 2 ) A, (g a mod p) B, (g b mod p), AB m1m1 m2m2 Αυθεντικοποίηση χρήστη (π.χ. αποστολή password, κρυπτογραφημένου με το Ks)

77 Εφαρμογή Νο 7: Bluetooth v. 2.1 Εδραίωση Κλειδιού στο Bluetooth Elliptic Curve Diffie-Hellman (ECDH) Key Exchange Let’s pair Device A PKa PKb Device B DHkey A = a  PKb DHkey B = b  PKa DHkey A = a  PKb = a  b  G = b  a  G = b  PKa = DHkey B

78 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π25 Πρωτόκολλο Π25 - Το πρωτόκολλο εδραίωσης κλειδιού X.509 [34]

79 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π26 Πρωτόκολλο Π26 - Το πρωτόκολλο Π25 με πρόκληση-απάντηση [34]

80 5. Προηγμένα Πρωτόκολλα Εδραίωσης H Οικογένεια Πρωτοκόλλων MTI [31] Πρωτόκολλο Π27 - To πρωτόκολλο συμφωνίας MTI/A0 [31] (Matsumoto et al, 1986)

81 5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ (Encrypted Key Exchange) [7] Πρωτόκολλο Π29: Το πρωτόκολλο ΕΚΕ [7] (Bellovin and Merritt, 1992)

82 5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ2 [3] Πρωτόκολλο Π30: Το πρωτόκολλο ΕΚΕ2 [3] (Bellare et al, 2000)

83 5. Προηγμένα Πρωτόκολλα Εδραίωσης Εδραίωση Κλειδιού Ομάδας στο DH Carol Bob Πώς μπορούν 3 ή περισσότεροι χρήστες να συμφωνήσουν σε ένα κοινό κλειδί K … … Χρησιμοποιώντας το πρωτόκολλο DH; Group Key Agreement Alice Carol (Ingemarsson et al, 1982)

84 5. Προηγμένα Πρωτόκολλα Εδραίωσης Εδραίωση Κλειδιού Ομάδας στο DH Carol Bob Alice Πώς μπορούν 3 ή περισσότεροι χρήστες να συμφωνήσουν σε ένα κοινό κλειδί K … … Χρησιμοποιώντας το πρωτόκολλο DH; Group Key Agreement (Ingemarsson et al, 1982)

85 5. Συνοψίζοντας Συμμετρικά Πρωτόκολλα vs Πρωτόκολλα ΔΚ Εδραίωση με Συμμετρικά Συστήματα ΥΠΕΡ 1. Απόδοση (κόστος υπολογισμών, χωρητικότητας, αποθήκευσης) ΚΑΤΑ 1. Απαιτούν προ-συμφωνημένα μυστι- κά (με άλλους κόμβους ή με το KDC) Διαχείριση κλειδιού σε συστήματα μεγάλης κλίμακας: Δύσκολη Εφαρμογή σε κατανεμημένα και δυναμικά περιβάλλοντα: Δύσκολη 2. Στα συστήματα διανομής, το KDC αποτελεί μοναδικό σημείο αποτυχίας Εδραίωση με Συστήματα ΔΚ ΥΠΕΡ 1. Δεν απαιτούν την ύπαρξη προ- εγκατεστημένων μυστικών, ούτε ενός πλήρως έμπιστου, online KDC 2. Ιδανικά για συστήματα μεγάλης κλίμακας και δυναμικής τοπολογίας 3. Μη αποποίηση ευθύνης (ψηφιακές υπογραφές) ΚΑΤΑ 1. Απόδοση (κόστος υπολογισμών, χωρητικότητας, αποθήκευσης) 2. Διαχείριση κλειδιού (Υποδομές δημόσιου κλειδιού- PKI)

86 Εφαρμογές

87 A Classification of Threats on the Web (Stallings, 2010) *

88 Relative Location of Security Facilities in the TCP/IP Protocol Stack Ασφάλεια στο Επίπεδο Εφαρμογής (S/MIME, PGP, Kerberos,…) Σχεδιασμός εξειδικευμένων υπηρεσιών ασφάλειας (user-to-app) Ασφάλεια στο Επίπεδο «above TCP» (SSH, SSL/TLS) Ασφάλεια “end-to-end” (app-to-app) Ασφάλεια στο Επίπεδο IP (IPSec) Διαφάνεια, προστασία όλων των εφαρμογών, (host-to-host) Ασφάλεια στο Επίπεδο MAC (Data Link) (WPA, IEEE i,…) “hop-by-hop” security; WLAN & Cellular security (NIC-to-NIC) … (Stallings, 2010), * (Katz, 2010) *

89 What Layer? For most implementations of IP stacks  Transport layer and below implemented in operating system.  Above transport layer implemented in user process. 1. SSL/TLS (or SSH) OS doesn’t change, applications do. 2. IPsec: OS changes. Applications unchanged. (Basin, 2005) * (Kaufman, 2002) *

90 Secure Socket Layer and Transport Layer Security Goal: Reliable, end-to-end security Best for: Connection-oriented sessions User: Users not necessarily involved OS: Not necessarily modified App: Easy to modify apps to use SSL Current version: SSL v3, also known as TLS (Transport Layer Security): Internet Standard (RFC 5246) (Katz, 2010) * (Stallings, 2010), * *

91 SSL Record Protocol SSL Record provides two services for SSL connections: Confidentiality: Handshake defines a shared key for encrypting SSL payloads Message Integrity: Handshake defines a shared key for MAC (Stallings, 2010) *

92 SSL Handshake Protocol (Stallings, 2010) *

93 SSL Handshake Protocol (Stallings, 2010) * Phase 1. Establish Security Capabilities Key exchange method (cipher suite) 1. RSA key transfer: session key encryp- ted with receiver’s PK (cert is available) 2. Fixed Diffie-Hellman: Cert contains DH public-key (fixed key) signed by CA 3. Ephemeral Diffie-Hellman: sign (RSA or DSS) & send ephemeral DH keys 4. Anonymous Diffie-Hellman: Use the base DH key agreement algorithm

94 SSL Handshake Protocol (Stallings, 2010) * Phase 2. Server Auth and Key Exchange Cert not required for anonymous DH Server_key_exchange not required if: 1. Fixed DH (cert already contains key) 2. RSA key transfer is to be used Server_key_exchange may be needed in: 1. Anonymous DH: Send global values (p, g) and the server’s public DH key 2. Ephemeral DH: the values above, signed with server’s private key 3. RSA key transfer in which the server has a signature-only RSA key: Server creates a temporary key pair, then signs & sends pk (exponent & modulus) Signature also contains nonces so far:

95 SSL Handshake Protocol (Stallings, 2010) * Phase 3. Client Auth and Key Exchange Server may also ask a client cert (TLS) Content of client_key_exchange: 1. RSA key transfer: Client generates a 48-byte pre_master_secret & encrypts with server’s public key 2. Ephemeral or Anonymous DH: The client’s public DH parameters 3. Fixed DH: content null (DH parameters were sent in the certificate message) Certificate_verify is sent only if client’s cert has a signing capability: Goal: prove possession of private key

96 SSL Handshake Protocol (Stallings, 2010) * Phase 4. Finish Completion of setting up a connection Finished message verifies that auth and key exchange were successful Concatenation of two hashes:

97 SSL Handshake Protocol (Stallings, 2010) * Master Secret Creation It is built upon a pre_master_secret, which, has already been built in 2 ways: 1. RSA key transfer: pre_master is sent by client, encrypted with server’s pk 2. Diffie-Hellman: pre_master_secret is the established DH key Both sides now compute master_secret: In TLS, master_secret is computed as:

98 SSL Handshake Protocol (Stallings, 2010) * Generation of Cryptographic Parameters CipherSpecs requires: A client write MAC secret A server write MAC secret A client write key and IV A server write key and IV How? Hash master_secret until enough output is generated:

99 Transport Layer Security (RFC 5246) (Stallings, 2010) * * Similar to SSLv3 with minor differences record format version number uses HMAC for MAC a different pseudo-random function has additional alert codes some changes in supported ciphers changes in certificate types & negotiations changes in crypto computations & padding (Brown, 2011) *

100 Transport Layer Security (RFC 5246) (Stallings, 2010) * *

101 HTTP Secure (HTTPS) HTTP over SSL/TLS Motivation HTTP: subject to man-in-the- middle and eavesdropping attacks Goal Encrypted communication & iden- tification of (at least) Web server over an insecure network Solution Use ordinary HTTP over an SSL/TLS connection Documented in RFC 2818 HTTPS: a URI scheme URLs begin with https:// Use port 443 Used in: Payment transactions User access with passwords Secure mail, Corporate Intranet,… (Stallings, 2010) * (Brown, 2011) * https://www.owasp.org/index.php/Man-in-the-middle_attack * *

102 HTTP Secure (HTTPS) HTTP over SSL/TLS (Stallings, 2010) * (Brown, 2011) * The attacker can only know the fact that a connection takes place between two hosts with known domain names and IP addresses Information that HTTPS encrypts: URL, document contents, form data, cookies, HTTP headers

103 HTTP Secure (HTTPS) HTTP over SSL/TLS (Stallings, 2010) * Other Issues Certificate revocability Browser should check whether a cert is still valid Implement Online Certificate Status Protocol (OCSP) Software security issues (Browser and Server) Client Authentication HTTPS can also be used for controlling access to a web server  Admin builds a cert for each user  Each user loads cert to browser  Typically, the certificate contains name and address of user (RFC 2560) * *,*, *

104 Εφαρμογές Κινητή Τηλεφωνία: WAP & WTLS Internet Gateway Web Server WTLSSSL

105 Εφαρμογές ΙΕΕΕ i (Ασύρματα Τοπικά Δίκτυα) Εδραίωση Κλειδιού σε WLANS (EAP-TLS) Mobile client Radius Authentication Server Enterprise network

106 Current version: SSH2 (RFCs ) Secure Shell (SSH) Initial version (SSH1) to replace TELNET & other insecure schemes Today, SSH provides a general client-server capability Remote login, file transfer, mail,… (Stallings, 2010) * * Motivation: (old) Telnet sessions are unencrypted ! *

107 Secure Shell (SSH) Transport Layer Protocol A. Host Keys Server auth occurs here  Server possesses public/private key pair  Client must have a priori knowledge of the server’s public host key Two alternative trust models: 1. Client has a local database that associates a host name with a pk 2. Host name-to-key certified by a CA (client knows CA’s root key) * * * *

108 Secure Shell (SSH) Transport Layer Protocol B. Packet Exchange (Stallings, 2010) * * *

109 Secure Shell (SSH) Transport Layer Protocol B. Packet Exchange (Stallings, 2010) * * Steps of SSH Transport Layer 1. Identification string exchange These strings are used in the DH key exchange later 2. Algorithm negotiation Key exchange, encryption, MAC, compression 3. Key exchange Diffie-Hellman key exchange *

110 Secure Shell (SSH) Transport Layer Protocol (Stallings, 2010) * * *

111 Secure Shell (SSH) Transport Layer Protocol – DH Key Exchange (Stallings, 2010) * * *

112 Secure Shell (SSH) Transport Layer Protocol (Stallings, 2010) * * Subsequent to DH key exchange, all data is exchanged as the pay- load of an SSH packet, protected by encryption and MAC C. Key Generation All needed keying material is gene- rated from established DH key: *

113 Three authentication methods: 1. Public-key: Client sends a public key and a signature on a message Typically, user supplies a pass- phrase to decrypt signature key 2. Password: Client sends password, encrypted by TLP 3. Host-based: Host locally authenti- cates (multiple) user(s), then signs a message with host’s private key Secure Shell (SSH) User Authentication Protocol (Stallings, 2010) * *

114 Secure Shell (SSH) Connection Protocol Assumes a secure authenti- cation connection (tunnel) Uses the tunnel to multiplex a number of logical channels All types of SSH communica- tion use separate channels Either side may open a channel with unique id number Channels are flow controlled using a window mechanism (Stallings, 2010) * *

115 Secure Shell (SSH) Connection Protocol (Stallings, 2010) * * Life of a channel has 3 stages: 1. Opening a channel, 2. Data transfer, 3. Closing a channel

116 Secure Shell (SSH) Connection Protocol (Stallings, 2010) * * Channel types: 1. Session Remote execution of a program (shell, file transfer, mail, …) 2. Local port forwarding SSH client “listens” and intercepts selected app-level traffic and redirects it to SSH tunnel Examples: POP3, SMTP, HTTP,… 3. Remote port forwarding Tunnel initiated on server side, goes back through client machine Port forwarding services are also known as SSH tunneling *

117 Secure Shell (SSH) Local Port Forwarding (Stallings, 2010) * * Case: Use a local mail client to get mail from mailserver via POP3 Unprotected session *,*, *,*, *

118 Secure Shell (SSH) Remote Port Forwarding (Stallings, 2010) * *,*, *,*, Case: You wish to access a server at work from home (server is behind a firewall) *

119 Internet Protocol Security (IPsec) Motivation An enterprise can run a secure, private network over Internet 1. Encrypt packets that leave/enter the premises 2. Authenticate packets that leave/enter the premises Security at the IP level Protect all apps (with or without security mechanisms!) Transparent to end users (Stallings, 2010) *

120 IPsec (Stallings, 2010) * Applications of IPsec 1. Branch connectivity Company builds a secure VPN over Internet or public WAN 2. Secure remote access User calls local ISP & gains secure access to company network 3. Extranet & Intranet connectivity Secure communication with other organizations and/or other depart- ments within enterprise

121

122 IPsec (Stallings, 2010) * Rooting Applications IPsec can assure that:  A router advertisement comes from an authorized router  A neighbor advertisement comes from an authorized router  A redirect message comes from a router to which packet was sent  A routing update is not forged (Stallings, 1996) * *

123 To πρότυπο IPsec IPsec Services Access Control Connectionless integrity Data origin authentication Rejection of replay packets Confidentiality Traffic flow confidentiality Two (2) protocols are used: 1. AH (Authentication Header) Authentication & Integrity 2. ESP (Encapsulation Sec. Payload) Confidentiality (& optional authentication / integrity) AH and ESP support two modes: 1. Transport mode Only protect IP packet payload (protect upper layer protocol) Case: E2E between 2 hosts 2. Tunnel mode Protects the entire IP packet Case: A number of endnodes (without IPsec installation) on networks between firewalls Case2: endnode to firewall (RFC 4301) * (Stallings, 2010) * (Heidari, 2004) * * *

124 To πρότυπο IPsec (Stallings, 2010) *

125 IPsec Architecture (Stallings, 2010) *

126 IPsec Architecture (Stallings, 2010) *

127 IPsec Architecture (Stallings, 2010) *

128 IPsec Architecture (Stallings, 2010) *

129 Encapsulating Security Payload (ESP) (Stallings, 2010) *

130 Encapsulating Security Payload (ESP) Transport and Tunnel mode (Stallings, 2010) *

131 ESP Transport and Tunnel modes Transport mode Confidentiality & integrity for any app (no need to implement confidentiality in an app separately) o Traffic analysis on transmitted packets ! Tunnel mode Counter traffic analysis Simplifies key distribution (Stallings, 2010) *

132 Encapsulating Security Payload (ESP) Transport and Tunnel mode (Stallings, 2010) *

133 IP HeaderESP HeaderPayload (TCP, UDP, etc) IP HeaderESP HeaderPayload (TCP. UDP,etc)IP Header Transport Packet layout Tunnel Packet layout ΑπροστάτευτοΠροστατευμένο ESP & AH Note: In transport mode, AH is better than ESP with authentication, since AH also provides integrity protection for some fields inside the IP header (although this can also be offered by ESP tunnel mode)

134 Ipsec - Combining Security Associations (Stallings, 2010) *

135 IP Security IKE (Internet Key Exchange) Goal Mutually authenticated session key(s) establishment Protocol A variarion of DH key exchange with extra features 1. Cookies, to thwart clogging 2. Nonces to prevent replay 3. Mutual authentication, to thwart MITM attacks 4. Optional anonymity Three authentication methods: 1. Public signatures keys. Sign hashes of previous messages 2. Public encryption keys. Encrypt challenges with responder’s PK 3. Symmetric key encrypt. Use an out-of-band established key (Stallings, 2010) * (RFC 4306) * * Cookie: a hash over IP (src, dest) addresses, UDP (src, dest) ports, & a locally generated secret value *

136 Clogging attacks Opponent forges legitimate IP & sends a public DH key to victim; Victim performs modular exponentiation to compute the DH key; Repeated messages of this type can clog the victim’s system with useless work. Suggestion: Cookies When receiving request from S, send cookie to S; start processing after cookie comes back from the initiator Stateless Cookies Responder does not have to remember cookies he sent out; Cookie is a function of e.g., IP address and a secret known to responder Internet Key Exchange Clogging attacks & Cookies (Stallings, 2010) * (Sun, 2011) *

137 Internet Key Exchange Clogging attacks & Cookies (Stallings, 2010) * (Sun, 2011) *

138 IPSec Case: the Photuris Protocol (candidate for IKE) { } –encryption with the established DH key (Kaufman, 2002) * Anonymous DH with identity hiding and stateless cookies

139 IKE Phase 1 Aggressive Mode Proof I’m Bob/Alice: (a) I prove I know the key associated to my identity (e.g., private signature key, private decryption key, pre-shared key) (b) Integrity-protect the previous messages (Kaufman, 2002) *

140 IKE Phase 1 Main Mode (Kaufman, 2002) * + cookies

141 IKE Phase 1 Public Signature Keys, Main Mode (Kaufman, 2002) *

142 IKE Phase 1 Public Signature Keys, Aggressive Mode (Kaufman, 2002) *

143 IKE Phase 1 Public Encryption Keys, Main Mode, Original (Kaufman, 2002) *

144 IKE Phase 1 Public Encryption Keys, Aggressive Mode, Original (Kaufman, 2002) *

145 IKE Phase 1 Public Encryption Keys, Main Mode, Revised (Kaufman, 2002) *

146 IKE Phase 1 Public Encryption Keys, Aggressive Mode, Revised (Kaufman, 2002) *

147 IKE Phase 1 Pre-Shared Secret Keys, Main Mode (Kaufman, 2002) *

148 IKE Phase 1 Pre-Shared Secret Keys, Aggressive Mode (Kaufman, 2002) *

149 IP Security Cryptographic Suites (Stallings, 2010) *


Κατέβασμα ppt "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Ε: Ασφάλεια Δικτύων: Αυθεντικοποιημένη."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google